Casi la mitad de las aplicaciones populares de Android creadas con …



La fuga de información y las aplicaciones que solicitan demasiados permisos también fueron problemas importantes, según una encuesta de más de 3.300 aplicaciones móviles populares.

Casi todas las aplicaciones de Android más populares usan componentes de código abierto, pero muchos de esos componentes están desactualizados y tienen al menos una vulnerabilidad de alto riesgo, según un análisis de 3.335 aplicaciones móviles publicado el jueves por Synopsys.

La empresa de seguridad de software package analizó las aplicaciones de Android más populares en 18 categorías, incluidas las aplicaciones de juegos, financieras y de productividad, y encontró que el 98% usaba código fuente abierto, con un promedio de 20 componentes por aplicación. Casi la mitad de las aplicaciones (46%) contenían un componente de código abierto con una vulnerabilidad de alto riesgo, y casi tres cuartas partes de las vulnerabilidades conocidas tenían al menos dos años, según el informe.

«En otras palabras, en su mayor parte, estos no son problemas nuevos y los desarrolladores simplemente no están considerando la seguridad de los componentes de código abierto que utilizan para crear sus aplicaciones», afirma el informe.

Synopsys outline «alto riesgo» como problemas que ya han sido explotados activamente o tienen un exploit de prueba de concepto documentado. Menos del 5% de esos problemas de alto riesgo no tienen una solución disponible actualmente, según Synopsys.

El informe es una advertencia para que los desarrolladores de aplicaciones móviles sigan prácticas de codificación seguras, rastreen los componentes de código abierto que usan en el desarrollo y actualicen su código con regularidad, dice Jonathan Knudsen, evangelista técnico de Synopsys.

«El software program es extraño», dice. «Normalmente, la gente dice: &#39Si no está roto, no lo arregles&#39, pero con el program, si no está roto, lo más possible es que lo esté mañana. Así que tienes que estar atento a las cosas que pones en tu aplicación, y cuando se descubren nuevas vulnerabilidades, que son inevitablemente, tienes que saber qué hay en tu aplicación para poder actualizar tus componentes y mantener seguros a tus usuarios y tu aplicación «.

los análisis de las aplicaciones gratuitas y de pago más populares en la tienda Google Perform subraya que incluso los desarrolladores de aplicaciones populares no incorporan los últimos componentes de código abierto en sus aplicaciones de software.

Las 3.335 aplicaciones incluyeron 315 aplicaciones de pago principales, 300 aplicaciones de mayor recaudación, 158 aplicaciones de productividad, 257 juegos de mayor recaudación, 107 aplicaciones bancarias y 159 aplicaciones educativas, así como aplicaciones de Android en una docena de otras categorías populares. Mientras que el 63% de todas las aplicaciones tenían componentes vulnerables, el 96% de los juegos gratuitos, el 94% de los juegos de mayor recaudación, el 88% de las aplicaciones bancarias y el 84% de las aplicaciones presupuestarias tenían componentes vulnerables.

Debido a que los servicios en línea y las aplicaciones móviles se han vuelto más importantes durante la pandemia, estos problemas deben solucionarse, dijo Jason Schmitt, gerente typical de Synopsys Software program Integrity Group, en un comunicado.

«Hoy en día, la seguridad de las aplicaciones móviles es especialmente importante si se tiene en cuenta cómo la pandemia nos ha obligado a muchos de nosotros, incluidos niños, estudiantes y gran parte de la fuerza laboral, a adaptarnos a estilos de vida remotos, cada vez más dependientes de los dispositivos móviles», dijo Schmitt. «En el contexto de estos cambios, este informe subraya la necesidad crítica de que el ecosistema de aplicaciones móviles eleve colectivamente el listón para desarrollar y mantener software package seguro».

Si bien la existencia de un exploit no indica necesariamente el nivel de riesgo que las aplicaciones representan para los usuarios, aproximadamente el 1% de las 3137 vulnerabilidades identificadas en la aplicación son fallas de ejecución remota de código (RCE), según Synopsys.

Los principales componentes vulnerables fueron OpenSSL en ocho de las 18 categorías de aplicaciones, SQLite en tres categorías de aplicaciones y Curl en otras tres categorías. OpenJPEG, el kernel de Linux y OpenCV completan la lista.

Los problemas de seguridad del software se extendieron más allá del uso de componentes de código abierto vulnerables y obsoletos. La fuga de información y las aplicaciones que solicitan demasiados permisos fueron problemas importantes, dijo Synopsys. Las aplicaciones expusieron cientos de miles de URL, decenas de miles de direcciones IP y miles de direcciones de correo electrónico, así como información más confidencial, como tokens OAuth, claves privadas asimétricas, claves AWS y tokens internet JSON.

Las aplicaciones también requerían, en promedio, 18 permisos de dispositivos diferentes, más de cuatro permisos confidenciales y tres permisos que Google ha clasificado como «no destinados al uso de terceros», dijo la compañía. Los peores infractores parecen ser las aplicaciones que se ocupan del dinero: las aplicaciones de presupuesto, las aplicaciones de pago y las aplicaciones bancarias requieren 24 permisos o más.

Desafortunadamente, los usuarios no tienen muchos recursos, excepto desinstalar la aplicación hasta que se solucionen tales problemas, dice Knudsen de Synopsys.

«Desde la perspectiva del usuario, no hay mucho que pueda hacer», dice. «Es importante crear conciencia y tratar de asegurarse de que, sí, es una gran thought usar código abierto para crear program, pero debe administrar los componentes que está utilizando».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking at, MIT&#39s Engineering Critique, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first